Paketmanager: Homebrew vergisst Zugangstoken auf öffentlichem Server

Beim beliebten Paketmanager Homebrew für MacOS ist es möglich gewesen, unbefugt Commits im offiziellen Github-Repo des Projekts einzufügen. Grund war ein öffentlich einsehbarer Github-API-Token.

Artikel veröffentlicht am ,
Github-API-Token in der öffentlichen Jenkins-Instanz des Homebrew-Projekts.
Github-API-Token in der öffentlichen Jenkins-Instanz des Homebrew-Projekts. (Bild: Eric Holmes)

Der Entwickler Eric Holmes hat in der öffentlich zugänglichen Jenkins-Instanz des Homebrew-Projekts einen Zugangstoken für das Github-Verzeichnis des weitverbreiteten Paketmanagers für MacOS gefunden. Damit war es ihm eigenen Angaben zufolge möglich, Schreibrechte für die zentralen Repos 'brew', 'homebrew-core' und 'formulae.brew.sh' zu erlangen und eigene Commits einzustellen.

Stellenmarkt
  1. Inhouse Consultant Dynamics 365 CRM (m/w/d)
    CENTROTEC SE, Brilon (Home-Office möglich)
  2. Mitarbeiter*in im Bereich IT- & Medientechnik mit dem Schwerpunkte Systemadministration
    Pädagogische Hochschule Weingarten, Weingarten
Detailsuche

"Ich bin mit dem Ziel herangegangen zu schauen, ob ich mir Zugang zum Github-Repository von Homebrew verschaffen kann. Nur 30 Minuten später habe ich meinen ersten Commit in Homebrew/homebrew-core eingestellt", schreibt Holmes auf dem Blogging-Portal Medium. Auf seiner Suche habe er die offenbar bewusst öffentlich zugängliche Jenkins-Instanz des Projekts gefunden und sei dort schnell auf einen API-Token für Github aufmerksam geworden. Dieser gewährte ihm volle Commit-Rechte auf die zentralen Github-Repos von Homebrew.

Ein lohnendes Angriffsziel

Paketmanager spielen eine zentrale Rolle bei der sicheren Verteilung und Aktualisierung von Software über das Internet. "Homebrew hat Hunderttausende von Nutzern, einschließlich in einigen der größten Silicon-Valley-Firmen. Das am häufigsten installierte Paket der vergangenen 30 Tage ist Openssl mit über 500.000 Downloads", schreibt Holmes. "Wenn ich Böses gewollt hätte, hätte ich mit einer kleinen, wahrscheinlich unbemerkten Änderung an der Installationsformel des Openssl-Pakets eine Hintertür auf jedem Gerät platzieren können, das Openssl installiert." Diese Art von "Supply-Chain-Attacken" seien eine echte und andauernde Bedrohung. Obwohl der Fehler klar bei Homebrew liegt, ist dies Holmes zufolge keine Homebrew-spezifische Schwäche. Es handele sich stattdessen um ein systemisches Problem der Softwareindustrie. Die IT-Sicherheitsforschung müsse sich mehr mit Paketmanagern beschäftigen, schreibt er.

Problem schnell gelöst

Durch Holmes informiert, widerrief das Homebrew-Team den Zugangstoken offenbar innerhalb weniger Stunden. In einem Security Advisory heißt es außerdem, keines der Pakete im Repository sei kompromittiert worden. "Wir haben den Github-Support kontaktiert und sie haben überprüft, dass der betroffene Token nicht benutzt wurde, um irgendwelchen Code in die Repositories zu pushen."

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    30.05.-03.06.2022, Virtuell
  2. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    22.-24.08.2022, Virtuell
Weitere IT-Trainings

Zudem seien weitere, in die Zukunft gerichtete Sicherheitsmaßnahmen ergriffen worden. Das Projekt nutze nun Branch Protection, eine Github-Funktion die nicht korrigierbare Code-Änderungen verhindert, und habe Zwei-Faktor-Authentifizierung via SMS deaktiviert. Holmes Empfehlung, in Zukunft auch auf GPG-signierten Code zu setzen, habe das Homebrew-Team aber als zu unpraktikabel verworfen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Bundeswehr: Das Heer will sich nicht abhören lassen
    Bundeswehr
    Das Heer will sich nicht abhören lassen

    Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
    Ein Bericht von Matthias Monroy

  2. The Valiant: Ritterliche Strategie mit Theoderich von Akenburg
    The Valiant
    Ritterliche Strategie mit Theoderich von Akenburg

    Actionlastige PC-Echtzeit-Strategie im mittelalterlichen Szenario will The Valiant bieten - und eine Handlung rund um ein mythisches Relikt.

  3. Milliarden-Übernahme: Musk spricht von günstigerem Übernahmeangebot für Twitter
    Milliarden-Übernahme  
    Musk spricht von günstigerem Übernahmeangebot für Twitter

    Mit Blick auf die Zählung von Spam-Konten bei Twitter hat Elon Musk gefragt, ob die mehr als 200 Millionen Twitter-Nutzer angerufen worden seien.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /